Olimpo Informatico

[Blax]

Salve a tutti,
purtroppo il mio pc è stato infettato da questo fastidiosissimo virus denominato "System Progressive Protection", dopo aver collegato una chiavetta usb proveniente da un pc probabilmente a sua volta infetto.

In pratica con questo virus ti si installa un "cosiddetto" antivirus (ovviamente falso) che fa comparire una finestra che fa una finta scansione del sistema e ti dice che il pc è pieno di malware, e non ti fa più aprire nessun programma perchè ti dice che è infetto.

Ho provato a ripulire il sistema con CCleaner e con MalwareBytes da moladità provvisoria, e anche se quest'ultimo ha trovato ed eliminato delle infezioni il dannato virus rimane, e ad ogni avvio di Windows mi compare sempre la scansione di System Progressive Protection.

Come faccio a rimuovere questo virus definitivamente?

Il mio pc è un Windows XP Pro SP3.
Grazie a tutti.

Roberto

[R16]

Ciao Roberto.
Scarica RougeKiller sul desktop.
link
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, troverai il log sul desktop.
Postalo qui.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[Blax]

Ciao, ho dovuto eseguire RogueKiller dalla modalità provvisoria con rete perchè il virus non mi permetteva di aprirlo.

Ecco il log:

_S_12112012_02d1146.txt]RKreport[1]_S_12112012_02d1146.txt

Grazie per l'aiuto.

Roberto

[R16]

Ciao
Riesegui RogueKiller.
Clicca Scan.
Finita la scansione:
Clicca su "Registry"
Metti la spunta a queste 2 voci: (solo quelle)

RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 18F3B27673782A9A000018F399882FF0 (C:\Documents and Settings\All Users\Dati applicazioni\18F3B27673782A9A000018F399882FF0\18F3B27673782A9A000018F399882FF0.exe) -> FOUND
[RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-1645522239-746137067-839522115-1003[...]\RunOnce : 18F3B27673782A9A000018F399882FF0 (C:\Documents and Settings\All Users\Dati applicazioni\18F3B27673782A9A000018F399882FF0\18F3B27673782A9A000018F399882FF0.exe) -> FOUND

Le altre NON devono essere selezionate. (se trovi la spunta, devi toglierla)

Clicca su "Delete".

Quando ha finito clicca su Report .
Postalo qui.

Poi:

Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log.

[Blax]

Allora ecco il resoconto, ho eseguito RogueKiller da Modalità Provvisoria e rimosso le voci da te indicate. Di seguito il log:

_D_12122012_02d1618.txt]RKreport[3]_D_12122012_02d1618.txt

Poi sempre da Modalità Provvisoria ho eseguito ComboFix, e alla fine della scansione mi ha riavviato il pc (avvisandomi con un messaggio), e quindi è partito in modalità normale.
Ecco il log di ComboFix:

ComboFix.txt

All'avvio di Windows non è più aperta la finestra di System Progressive Protection, speriamo in bene.

Intanto attendo nuove istruzioni.
Grazie per il tempo che mi state dedicando.

Roberto

[R16]

Ok.
Scarica Adwcleaner sul desktop:
link
Avvialo (in Modalità normale) e clicca sul pulsante "Elimina".
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

Poi: (dopo Adwcleaner)
Fai questa scansione con OTL. (in Modalità normale)
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log.

[Blax]

Ok fatto.
Ecco il log di Adwcleaner:

.txt]AdwCleaner[S1].txt

E i due log di OTL:

OTL.Txt

Extras.Txt

Roberto

[R16]

Apri OTL e clicca su Cleanup.
Si disistallerà sia Combofix che lo stesso OTL.
Ti chiederà il riavvio del pc: acconsenti.

Elimina anche RougeKiller e Adwcleaner


Disattiva il ripristino configurazione di sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084

Vai in "Installazione Applicazioni e rimuovi TUTTE le versioni Java che trovi.

Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Scarica l'ultima versione di Java:
link

Esegui uno Scandisk.
Fai anche una deframmentazione del HD.

Riattiva il ripristino configurazione di sistema.

N.B:
Queste pulizie servono.
Per cui ti prego di eseguirle: il pc ti ringrazierà.

Se non riscontri problemi, abbiamo concluso.

[Blax]

A parte qualche opzione di windows ripristinata al valore di default (visualizzazione file nascosti, eccezioni di windows firewall, ecc.) funziona tutto perfettamente.

Grazie tante del tuo aiuto e del tempo che mi hai dedicato.

Solo una cosa, ho letto in questo forum che il cosiddetto AutoPlay di Windows può essere pericoloso, ed infatti credo di essermi infettato proprio per colpa dell'Autoplay della chiavetta USB.
Costituisce realmente un pericolo questa funzione? Se sì esiste un modo non invasivo (senza modifiche al registro) per disabilitarlo?

[R16]

Ciao.